Segurança em Sistemas de Informação - PowerPoint PPT Presentation

Anita
seguran a em sistemas de informa o l.
Skip this Video
Loading SlideShow in 5 Seconds..
Segurança em Sistemas de Informação PowerPoint Presentation
Download Presentation
Segurança em Sistemas de Informação

play fullscreen
1 / 62
Download Presentation
Segurança em Sistemas de Informação
241 Views
Download Presentation

Segurança em Sistemas de Informação

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. Segurança em Sistemas de Informação Eduardo Luzeiro Feitosa

  2. Agenda • Conceitos • Normas de Segurança • Avaliação de Riscos • Políticas de Segurança • Detecção de Vulnerabilidades • Ataque

  3. Conceitos

  4. Segurança da Informação • Segurança da Informação (SI) é a proteção de sistemas de informação contra desastres, erros e manipulação de modo a minimizar a probabilidade e impacto de incidentes • Prevenção: Confidencialidade Integridade Disponibilidade

  5. Segurança da Informação • Confidencialidade • Garantia de que a informação é acessível somente por pessoas autorizadas • Não deve acontecer divulgação intencional (ou não) de informações reservadas • Questões de confidencialidade surgem porque processos e informação sensíveis do negócio só devem ser divulgados para pessoal / programas autorizados • Necessidade de controlar acesso

  6. Segurança da Informação • Integridade • Garantia da exatidão e completude da informação e dos métodos de processamento • Informações não devem ser • Modificadas por pessoas/processos desautorizados • Modificações desautorizadas não sejam feitas por pessoas/processos autorizados • Inconsistentes • Necessidade de garantir que os objetos são precisos e completos

  7. Segurança da Informação • Disponibilidade • Garantia que usuários autorizados obtenham acesso à informação e aos ativos correspondentes sempre que necessário • Informação e serviços do negócio devem estar disponíveis quando necessários • Necessidade de controles para garantir confiabilidade dos serviços

  8. Segurança da Informação • Como a SI pode ser obtida? • Implementando controles para garantir que os objetivos de segurança sejam alcançados • Porque SI é necessária? • A informação, processos, sistemas e redes são importantes ativos para os negócios • Confidencialidade, integridade e disponibilidade são essenciais para preservar o negócio • As informações são constantemente “ameaçadas” • Dependência dos SIs gera vulnerabilidades • Quase nada é projetado para ser seguro

  9. Segurança da Informação • Requisitos de segurança • Avaliação de riscos dos ativos • Avaliação de ameaças, vulnerabilidades, probabilidade de ocorrência de incidentes, impacto ao negócio • Legislação vigente, estatutos, regulamentação, cláusulas contratuais • Devem ser obrigatoriamente atendidos

  10. Normas para Segurança da Informação

  11. Norma BS 7799 (BS = British Standard) • BS-7799-1:2000 – Primeira parte • Publicada em 1995 pela primeira vez • Versão atual de 2000 • Código de prática para a gestão da segurança da informação • Objetivo da organização: conformidade • BS-7799-2:2002 – Segunda parte • Publicada em 1998 pela primeira vez • Versão atual de 2002 • Especificação de sistemas de gerenciamento de segurança da informação (ISMS – information security management system) • Objetivo da organização: certificação

  12. Norma ISO/IEC 17799 • Internacionalização da norma BS 7799 • ISO/IEC 17799:2000, substitui a norma britânica • Inclui 127 controles e 36 objetivos de controle agrupados em 10 áreas de controle • Controles baseados na experiência das organizações e melhores práticas • Atualmente está sendo atualizado • ISO/IEC 17799:2005: disponível maio/junho 2005 • Várias modificações gerais e específicas • http://www.aexis.de/17799CT.htm

  13. Norma NBR 17799 • NBR ISO/IEC 17799 • Versão brasileira da norma ISO, homologada pela ABNT em setembro de 2001 • Tradução literal da norma ISO • www.abnt.org.br • No Brasil, deve-se usar a norma brasileira • Em outros países, recomenda-se verificar se existe uma norma local • Detalhe importante: • Deve-se pagar pelas normas 

  14. Vantagens das Normas (1 # 2) • Conformidade com regras dos governos para o gerenciamento de riscos • Maior proteção das informações confidenciais da organização • Redução no risco de ataques de hackers • Recuperação de ataques mais fácil e rápidas • Metodologia estruturada de segurança que está alcançando reconhecimento internacional

  15. Vantagens das Normas (2 # 2) • Maior confiança mútua entre parceiros comerciais • Custos possivelmente menores para seguros de riscos computacionais • Melhores práticas de privacidade e conformidade com leis de privacidade

  16. Gerenciamento e Avaliação de Riscos

  17. Terminologia (1 # 2) • Risco • Possibilidade de sofrer perda ou dano; perigo • Ataque • Acesso a dados ou uso de recursos sem autorização • Execução de comandos como outro usuário • Violação de uma política de segurança, etc • Vulnerabilidade • É uma falha que pode permitir a condução de um ataque

  18. Terminologia (2 # 2) • Incidente • A ocorrência de um ataque; exploração de vulnerabilidades • Ameaça • Qualquer evento que pode causar dano a um sistema ou rede • A existência de uma vulnerabilidade implica em uma ameaça • Exploit code • Um código preparado para explorar uma vulnerabilidade conhecida

  19. Exemplos de Ameaças • Pessoas chaves para uma organização • Ferimento, morte • Servidores de arquivos • Ataques DoS • Dados dos alunos • Acesso interno não autorizado • Equipamentos de produção • Desastre natural

  20. Exemplos de Vulnerabilidades • Pessoas chaves para uma organização • Sem controle de acesso • Servidores de arquivos • Aplicação incorreta de correções (patches) • Dados dos alunos • Terceirizados não averiguados • Equipamentos de produção • Controles fracos de acesso físicos

  21. Gerenciamento de Riscos • O gerenciamento de riscos é baseado no: • Identificação (conhecimento) e avaliação (estimativa) de riscos • Controle (minimização) de riscos

  22. Identificação de Riscos • Conhecimento do Ambiente • Identificar, examinar e compreender como a informação e como ela é processada, armazenada e transmitida • Iniciar um programa detalhado de gerenciamento de riscos • Conhecimento do inimigo • Identificar, examinar e compreender as ameaças • Gestores devem estar preparados para identificar as ameaças que oferecem riscos para a organização e a segurança dos seus ativos

  23. Estimativa de Riscos • Passo 1: Caracterização do sistema • O que há para gerenciar? • Como a TI está integrada no processo? • Passo 2: Identificação das ameaças • Quais fontes de ameaças devem ser consideradas? (Interna/externa, acidental/intencional, maliciosa/não-maliciosa) • Passo 3: Identificação de vulnerabilidades • Quais falhas/fraquezas podem ser exploradas? • Passo 4: Análise de controles • Quais são os controles atuais e planejados?

  24. Estimativa de Riscos • Passo 5: Determinação das possibilidades • Alta, Média e Baixa • Passo 6: Análise de Impacto • O que a exploração da vulnerabilidade pode resultar? • Alta, Média e Baixa • Passo 7: Determinação dos riscos • Possibilidade x Impacto • Passo 8: Recomendações de controles • Passo 9: Documentação

  25. Políticas de Segurança da Informação

  26. Tipos de políticas • Programa de Política (organizacional) • Diretrizes da diretoria para criar um “programa” de segurança, estabelecer os seus objetivos e atribuir responsabilidades • Políticas de sistemas • Regras de segurança específicas para proteger sistemas (redes, máquinas, software) específicos

  27. Implementação de Políticas • Padrões • Uniformidade de uso de tecnologias, parâmetros ou procedimentos, para beneficiar a organização • Ex: Uso de Windows 2000 (mesmo existindo XP) • Diretrizes • Em alguns casos, a aplicação de padrões não é possível, conveniente ou acessível (custos) • Ex: auxílio no desenvolvimento de procedimentos • Procedimentos • Passos detalhados para serem seguidos pelos funcionários • Ex: Cuidados na criação de contas de e-mail

  28. Política (componentes) • Objetivo • Por que a política? • Escopo • Toda a organização ou parte dela? • Responsabilidades • Quem são as pessoas? Estrutura formal? • Conformidade • Como fiscalizar”? • O que acontece para quem não cumprir? • Intencional, não-intencional (falta de treinamento?)

  29. Exemplo: SANS Institute para roteador • Objetivo • Este documento descreve uma configuração mínima de segurança para todos os roteadores e switches conectados na rede de produção da <organização> • Escopo • Todos os roteadores e switches conectados na rede de produção da <organização> são afetados. • Roteadores em laboratórios internos/seguros são excluídos • Roteadores dentro da DMZ devem seguir política específica

  30. Exemplo: SANS Institute para roteador • Política: padrões de configuração • Contas locais não devem ser configuradas nos roteadores. Roteadores devem usar TACACS+ (AAA) para todas as autenticações de usuários • A senha de “enable” deve ser criptografada • Deve ser desabilitado • Broadcast IP direcionado (sub-redes que o host não está) • Recepção de pacotes com endereços inválidos (ex: RFC1918) • Serviços “pequenos” TCP e UDP (echo, chargen, daytime, discard) • Roteamento pela fonte (source routing) • Serviços web rodando no roteador • Não usar comunidade SNMP public (criar padrões) • Regras de acesso devem ser definidas pela necessidade • ...

  31. Vulnerabilidades

  32. Terminologia • RFC 2828 – Glossário de segurança da Internet • Uma falha ou fraqueza em um sistema • Que pode ocorrer • No projeto • Na implementação • Na operação ou gerenciamento • Que pode ser explorada para violar a política de segurança do sistema • Livro do Nessus • Erro de programação ou configuração errada que pode permitir que um intruso tenha acesso não autorizado a algum ativo

  33. Tipos de Vulnerabilidades • Não existe ainda consenso sobre classificação e/ou taxonomia para vulnerabilidades • Por serviço afetado • Por gravidade • Por sistema operacional alvo • Classificação por impacto potencial (Nessus) • Vulnerabilidades Críticas • Vazamento de informações • Negação de serviços • Falha em implementar melhores práticas

  34. Vulnerabilidades críticas • São os problemas de mais alta prioridade • A sua exploração podem levar a execução de programas, escalada de privilégios, comprometimento do sistema, etc • Critérios para classificar uma falha como crítica • Possibilidade de exploração remota • Exploração sem conta de usuário local • Permissão de acesso privilegiado • Exploração automática e confiável (para o atacante) • Vermes exploram vulnerabilidades críticas

  35. Vulnerabilidades críticas (exemplos) • Sasser worm • Buffer overflow no Local Security Authority Subsystem Service (LSASS) do Windows • Witty worm • Buffer overflow no parser do ICQ de produtos para IDS da Internet Security Systems (ISS) • Slapper worm • Falha na biblioteca OpenSSL do Apache que permite executar uma shell remota e explorar DoS • Solaris sadmind • O serviço RPC do sadmind permite que usuários não autenticados executem comandos como root

  36. Vulnerabilidades críticas (classificação) • Buffer overflow (transbordamento de memória) • Travessia de diretórios • Ataques de formatação de strings • Senhas default • Configurações erradas • Backdoors conhecidos

  37. Vulnerabilidades críticas • Buffer Overflow • O tipo mais famoso e explorado de vulnerabilidade crítica • O programador não limita a quantidade de informação que pode ser escrita em uma determinada área de memória (string, array, etc) • O transbordo da memória ocorre quando o programa copia os dados de entrada para o buffer sem verificar o seu tamanho • Metade das vulnerabilidades descobertas nos últimos anos são de buffer overflow (CERT) • http://www.sans.org/rr/whitepapers/threats/481.php

  38. Vulnerabilidades críticas • Travessia de Diretórios • Problema comum encontrado em várias protocolos/aplicações que mapeiam pedidos dos usuários para caminhos de arquivos locais • Exemplo: através de uma conta de FTP que remete ao /home/userX, o atacante consegue acessar outros diretórios e arquivos • Vulnerabilidades descobertas • TFTP • Apache • rsync • Mcrosoft IIS

  39. Vulnerabilidades críticas • Formatação de strings • Permite que um atacante passe como parâmetro especificadores de conversão (ex: %d”, “%s”) e faça com que seja processados mais dados do que o programador considerou originalmente • Permite que endereços de memória sejam sobrescritos e código malicioso seja executado • O atacante precisa ter muito conhecimento, ou seja, precisa ser um “hacker de verdade” • Vulnerabilidades descobertas • Solaris rpc.rwalld • Tripwire

  40. Vulnerabilidades críticas • Senhas default • A maioria dos equipamentos e softwares vem configurados com usuários e senhas default (padrão), documentados e bem conhecidos • Elas facilitam a instalação e configuração inicial • É muito comum os administradores esquecerem de alterar esses usuários e contas • Exemplos • Cisco: conta: cisco, senha: cisco • WLAN: SSID (service set identifier) linksys • SNMP: comunidade public • Windows: administrator

  41. Vulnerabilidades críticas • Configurações erradas • A vida dos administradores de sistemas e de redes é dura • Eles sempre têm que fazer tudo às pressas • Por inexperiência, displicência ou pressa, muitas vezes configurações erradas ficam ativas por muito tempo • Exemplo: FTP anônimo • Para permitir que um web designer um administrador configura um FTP “seguro” e esquece da conta padrão “anonymous” • Um atacante coletou durante 3 meses o arquivo de senhas de uma instituição financeira, antes que o problema fosse detectado

  42. Vulnerabilidades críticas • Backdoors conhecidos • Geralmente são programas que escutam portas e possibilitam algum tipo de acesso • Redes com administradores inexperientes facilmente facilmente têm pelo menos um sistema com backdoors conhecidos • Trojans: capturadores de teclado, mouse, senhas, área de desktop, relay para outros sistemas • Geralmente são instalados por um atacante para ter novo acesso após um ataque bem sucedido • Ou seja, um backdoor significa que a rede já foi atacada e vários ativos podem ter sido comprometidos

  43. Anatomia de um ataque

  44. Anatomia de um ataque Varredura Reconhecimento Enumeração Invasão Escalando privilégios Acesso à informação Instalação de back doors Ocultação de rastros Negação de Serviços

  45. Anatomia de um ataque Varredura Reconhecimento Enumeração Invasão Escalando privilégios Acesso à informação Instalação de back doors Ocultação de rastros Negação de Serviços

  46. 1. Footprinting (reconhecimento) • Informações básicas podem indicar a postura e a política de segurança da empresa • Coleta de informações essenciais para o ataque • Nomes de máquinas, nomes de login, faixas de IP, nomes de domínios, protocolos, sistemas de detecção de intrusão • São usadas ferramentas comuns da rede • Engenharia Social • Qual o e-mail de fulano? • Aqui é Cicrano. Poderia mudar minha senha? • Qual o número IP do servidor SSH? e o DNS?

  47. Anatomia de um ataque Varredura Reconhecimento Enumeração Invasão Escalando privilégios Acesso à informação Instalação de back doors Ocultação de rastros Negação de Serviços

  48. 2. Scanning (varredura ou mapeamento) • De posse das informações coletadas, determinar • Quais sistemas estão ativos e alcançáveis • Portas de entrada ativas em cada sistema • Ferramentas • Nmap, system banners, informações via SNMP • Descoberta da Topologia • Automated discovery tools: cheops, ntop, … • Comandos usuais: ping, traceroute, nslookup • Detecção de Sistema Operacional • Técnicas de fingerprint (nmap) • Busca de senhas contidas em pacotes (sniffing) • Muitas das ferramentas são as mesmas usadas para gerenciamento e administração da rede

  49. Mapeamento de rede Tela do Cheops (http://cheops-ng.sourceforge.net)

  50. Anatomia de um ataque Varredura Reconhecimento Enumeração Invasão Escalando privilégios Acesso à informação Instalação de back doors Ocultação de rastros Negação de Serviços